随着我国全面依法治国战略以及近年我国企业因境外经营不符合当地国的合规监管要求被“掐脖子”的事例屡见不鲜,“合规”已成为我国政府工作和企业经营的重要议题。为推动我国企业合规经营,与国际合规要求接轨:
- 中央政府陆续出台合规相关指引,指导企业开展合规管理。例如,2018年11月国务院国资委发布的《中央企业合规管理指引(试行)》,2018年12月国家发改委联合七部委发布的《企业境外经营合规管理指引》;
- 地方政府、中国标准化研究院出台与国际接轨的合规指引、标准。例如,2021年10月,中国标准化研究院发布《合规管理体系 要求及使用指南(征求意见稿)》,计划将国际标准化组织(International Organization for Standardization, ISO)更新的ISO 37301:2021《合规管理体系 要求及使用指南》本地化;2021年11月,深圳市司法局发布了《深圳企业合规管理体系认证标准(征求意见稿)》,此认证标准的编制借鉴了国际经验和结合了深圳实际情况,旨在促进深圳企业加快建立合规管理体系;
- 地方政府采取有力举措推动本地企业依法合规经营。以深圳市为例,深圳市国资委正会同市监委、市司法局开展合规管理体系建设试点、防范廉洁风险工作,同时配合市检察院建立企业合规第三方监督评估机制,打造刑事合规“深圳模式”。
在国内外日趋严格的市场监管环境和我国政府推动的背景下,越来越多的企业致力于通过搭建合规管理体系,将合规融入企业经营,以助力企业业务增长,创造竞争优势和行稳致远。然而,我在作为专家顾问参与政府部门主导的企业合规体系建设指引项目,为包括世界500强企业在内的多家上市和拟上市企业提供搭建合规体系、合规案件调查、合规常年法律顾问服务、合规培训与咨询、合规战略与法律支持等各类合规法律服务过程中了解到,虽然企业认识到搭建合规体系的重要性,但企业在面对国内外层出不穷的合规标准、指引时,加上部分企业和高管的合规意识不足、合规人才匮乏、资金不够,往往找不到方向和抓手,不知从何做起,也不知如何搭建出适配企业实际情况并符合国际水准的合规管理体系。
为帮助企业解决这一难题,以ISO为代表的多边组织积极推进合规管理体系认证标准落地,推出ISO 37301:2021《合规管理体系 要求及使用指南》,拟在全球范围开展企业合规管理体系认证。ISO 37301采用Plan(计划)-Do(实施)-Check(检查)-Act(改进)(“PDCA”)理念,完整覆盖了合规管理体系建立、运行、保持和改进的全流程,基于合规治理原则,为企业建立并运行合规管理体系、传播积极的合规文化提供了整套解决方案。同时,ISO 37301的国际可认证性,在企业合规治理、传递商业信任、向监管机构证明存在合规管理体系、作为企业向司法机关提供关于违规量刑的正面证据、争取合规不起诉等方面提供了重要支持。
为助力企业开展符合国际标准的合规管理体系建设,本文将对ISO 37301认证、企业获得ISO 37301认证的好处以及企业如何通过搭建有效的合规体系来获得ISO 37301认证等方面展开介绍。
ISO 37301认证简介
ISO 37301: 2021全称《合规管理体系 要求及使用指南》,是由ISO/TC309技术委员会编制,由ISO组织在2021年4月发布和实施,适用于全球任何类型、规模、性质和行业的组织。
作为A类管理体系标准,ISO 37301:2021《合规管理体系 要求及使用指南》标准发布后,替代了ISO 19600: 2014《合规管理体系 指南》(对应的中国标准为GB/T 35770: 2017)。两项 ISO 标准均基于相同的架构、以风险导向为基础的方法,并注重整体的合规管理系统,但是,只有 ISO 37301 可以用作第三方认证的准则。ISO 37301规定了组织建立、运行、保持和改进合规管理体系的要求,并提供了使用指南,为各类组织提高自身的合规管理能力提供系统化方法。它采用的PDCA理念完整覆盖了合规管理体系建立、运行、保持和改进的全流程,基于合规治理原则,为组织建立并运行合规管理体系、传播积极的合规文化提供了整套解决方案。ISO 37301在ISO 19600的基础上进行了修订,增加了一些要求(如针对雇佣的具体要求、针对合规举报和调查的要求等)。如果企业已经按照ISO 19600:2014《合规管理体系 指南》搭建合规体系,还需要进一步对照ISO 37301:2021《合规管理体系 要求及使用指南》的要求进一步完善合规体系,方可满足认证要求。
ISO 37301的制定对于各类组织的合规管理能力建设、政府监管活动、国际贸易交流、沟通合作改善等具有重要的意义。其为企业治理者提高组织自身的合规管理能力提供系统化方法,为监管机构和司法机关采信企业组织的合规管理体系实践提供参考依据,为便利全球范围内相关方之间的贸易、交流和合作提供通用规则。
英国标准协会(British Standards Institution, BSI)将“ISO 37301合规管理体系”形容为一把大伞的伞面,其本质是帮助企业遮风避雨防范风险,降低违规带来的成本和声誉损失。而真实的风险是存在于企业完整生态体的各个方面,例如质量管理(对应ISO 9001标准)、环境管理(对应ISO 14001标准)、健康安全管理(对应ISO 45001标准)、反商业贿赂(对应ISO 37001标准)、信息安全管理(对应ISO/IEC 27001标准)、隐私信息管理(对应ISO/IEC 27701标准)等,这些都是支撑企业运营的伞骨,伞骨要强韧而牢固,伞面才能应对更大的未来瞬息万变的生态环境,它们构成支撑和融合的关系(如下图所示)。
对于企业而言,获得ISO 37301认证有以下好处:
采用PDCA理念的ISO 37301完整覆盖了合规管理体系建设、运行、维护和改进的全流程,其在合规管理体系设计和运行上,为企业提供了高度的灵活性,能够满足不同规模、类型、性质、行业的企业基于自身合规需求搭建合规管理体系。同时,如前文所述,ISO 37301与ISO其他组织管理标准之间是支撑和融合的关系,如果企业已建立起反商业贿赂、信息安全管理、质量管理、环境管理等体系并取得相应的ISO认证,则企业以ISO 37301为标准搭建合规管理体系时,可以实现更高效率、更低成本地融贯企业既有的专项管理体系,保持企业合规管理体系的系统性和协调性。
在海内外复杂严苛的合规监管环境背景下,ISO 37301作为企业获得第三方认证的依据,能够展示企业符合国际标准的合规管理能力,较高程度满足商业伙伴的合规管理要求,帮助企业在客户合作、多边合作、政府合作中传递商业信任。
获得ISO 37301认证的企业,在应对监管机构的检查时,一方面,能够将基于ISO 37301确立的合规管理理念用于行政监管活动的反馈;另一方面,能够通过对企业合规管理体系运行情况的评价结果来匹配相应的监管手段与措施,实现精准应对监管。
《2019-2020企业家刑事风险分析报告》显示,在2019年12月1日至2020年11月30日公开的刑事判决案例中,共检索出企业家犯罪案例2635件,企业家犯罪3278次。在3278次企业家犯罪中,共涉及犯罪企业家3095人。其中,国有企业家犯罪数为234次,约占企业家犯罪总数的7.14%;民营企业家犯罪数为3011次,约占企业家犯罪总数的91.85%;外商及港澳台企业家犯罪数为20次,约占企业家犯罪总数的0.61%。[1]企业家犯罪往往同时暴露出企业合规管理问题,牵涉单位犯罪,严重的甚至危及企业存亡。
自2020年3月至今,最高人民检察院(下称“最高检”)持续推动我国的企业合规改革试点工作。两年时间内,最高检先后开展了两期企业合规改革试点工作,与九部门联合发布了《<关于建立涉案企业合规第三方监督评估机制的指导意见(试行)>实施细则》和《涉案企业合规第三方监督评估机制专业人员选任管理办法(试行)》(2021年11月22日),并先后于2021年6月3日和2021年12月8日,发布两批共10件企业合规典型案例,积极推进企业合规改革试点工作。
对于涉嫌刑事犯罪的企业而言,获得不起诉的处理具有相当的积极作用。一方面,获得不起诉的处理意味着该企业不必因其违法犯罪行为而被迫终止运营或破产,同时企业雇员也免于遭受失业风险;更为重要的是,合规不起诉制度为企业运营创造了一定的激励制度,促进企业合规体系的建立与落实,为企业后续的合规经营打下坚实基础。
ISO 37301认证可以帮助涉嫌刑事犯罪的企业向司法机关展示企业具备良好的合规管理体系,以及持续改进企业合规管理的诚意。该认证既能作为司法机关对涉嫌刑事犯罪的企业量刑的考量依据,也能作为落实依法不捕不诉不提出判实刑建议等司法意见、制定合规指引、督促企业合规整改和第三方监管验收的正面依据。
综上,企业取得ISO 37301认证,对董事会和员工是证明运营风险管理的合格证,对监管部门和投资方是企业的信用证,对顾客和国际供应链是通行证。例如,今年年初,美的集团便获得全国首张ISO 37301:2021合规管理体系国际标准证书,美的集团全球法务总监陈敏认为:“标准化的合规实践有如一张全球有效的签证,有利于消减准入障碍与疑虑。经过专家层面的技术共识、利益相关方的协商一致,得到各界认同的合规管理ISO标准,让企业的合规管理体系更容易被相关方接受和认同。”
BSI为美的集团颁发的ISO37301:2021合规管理国际证书
企业如何搭建合规体系以获得ISO 37301 认证
我们了解到,权威的第三方认证机构在对企业进行ISO 37301认证时,并非机械地对企业合规管理模块、流程进行单点打分,而是基于ISO 37301的要求,依照 ISO19011《管理体系审核指南》以及机构的认证管理规则,以一种系统性的过程评审方式进行。这对企业的启发是:要获得ISO 37301认证,企业需要通过有效的方法论,并结合企业实际情况,实施ISO 37301,以衔接ISO 37301的标准要求与企业的合规体系(如下图所示),实现企业合规体系与ISO 37301适配。接下来,我将结合我在世界500强跨国企业担任法律合规负责人期间的合规实操经验,分享企业应如何搭建出符合ISO 37301国际水准的合规管理体系。
企业合规经营的关键支柱在于合规体系之搭建。要使合规管理形成企业经营的“防火墙”,保护企业免受因合规风险所带来的严重影响或重大损失,企业应当根据其行业特点和经营管理模式搭建针对性的合规体系。而一个行之有效的合规体系搭建,离不开合理的制度和程序、高层参与、风险评估、尽职调查、培训和沟通、监督和审核六大组成部分,这六大组成部分也是ISO 37301合规管理体系基本要素的要求。具体而言:
企业应制定合理的制度和程序,其作为企业合规体系的核心,是企业所有员工履行职责的基本要求。主要分为以下四方面:(1)企业行为准则,这是企业经营管理和文化建设的纲领性文件,包括企业愿景、使命、核心价值观、合规方针、社会责任等方面;
(2)企业合规管理制度,这是企业合规部门进行合规管理的程序性规章制度,包括合规组织制度、合规风险管理流程、合规审查流程、违规举报、调查与处置流程、合规报告程序等方面;
(3)职能部门管理规章,企业不同的职能部门涉及到不同的合规规范的执行与遵守,例如,管理、财务、人事行政、法务、内控等部门均有相对应的合规规范;
(4)业务合规流程,企业各业务领域涉及不同的合规规范,例如传统的业务合规流程、网络安全合规流程、产品合规流程、跨境电商领域合规等,具备较强的专业性,往往需要企业合规部门与业务部门合作制定和修改相关的业务合规流程。
企业合规运作应有高层的参与,形成较为成熟的合规组织体系。高层参与能够使企业形成上下连贯的合规组织结构,如公司自上而下设立合规委员会、分支机构和职能部门中的合规部门,合规部门直接向公司合规委员会和首席合规官汇报。这样能够确保企业管理层及时识别合规风险并采取应对措施。
定期或不定期地对企业活动中存在的合规风险进行识别与评估。例如,在投融资或收购项目中,企业需要对该项目进行合规风险评估,评估结果作为决策参考,降低企业风险。
合规部门针对已存在的合规风险进行调查和研究,形成合规风险报告,并研究制定和实施降低风险的措施。
企业需要定期组织培训和沟通,一方面能够确保员工了解最新的法律法规、监管规定、企业内部规章制度等方面内容;另一方面也能够保证企业高层管理者与其它层级员工维持一种稳定的沟通,使企业高层管理者的合规理念与态度能够顺畅传达至企业各层级员工,形成合规文化。
企业应建立合规监控体系,包括监督与审核。监督是指企业的高层管理者或员工在进行业务活动时,都应在其职责范围内进行可持续的管理与监督,检查每一项业务活动是否存在违规行为。审核是企业对合规管理体系运行情况的评审,企业通过审核及时发现问题并加以整改,有助于持续提升合规管理能力,确保企业的合规体系在全球各地得到了良好的贯彻执行。
在了解企业合规体系搭建方法论的基础上,我们以数据合规为例,结合数据合规应用场景,分享企业数据合规体系搭建和落地的方法论。
企业的数据合规体系搭建步骤大致可分为以下三个阶段:
第一阶段,数据核查。从信息安全角度进行数据核查的常规做法是使用软件来“感知”一个系统内的数据种类,并给予这些数据的敏感程度对该系统提出整体的安全方案。例如,有些比较关注数据合规的企业会通过SERVICE NOW、ONE TRUST、HIPEROS等数据合规工具,在跨境数据传输、合同审查、产品服务、隐私监管审查、尽职调查等方面辅助数据核查。数据核查不仅能够了解企业个人信息的收集和处理的现状,同时也是企业了解现状、识别风险和建立数据合规体系的重要基础。
第二阶段,进行风险识别和制定合规方案。企业可结合网络安全和数据保护法律法规规定的合规义务进行差距分析和风险识别,系统梳理和评估企业面临的数据风险和竞争风险,提前分析预判可能导致的数据合规风险。例如,如果一家拟上市企业要选择香港上市或国外上市,则该企业需充分考虑是否需要进行网络安全审查,如需配合国外监管机构的信息披露要求,应当及时与国内监管保持沟通并按照程序获得批准,优先遵循国内法律法规要求,并就企业的IT系统、用户界面、用户注册流程以及在个人信息收集、使用以及保护的透明度等方面,进行整体合规方案规划。
第三阶段,数据合规规则建立和落地。企业可结合实际情况建立数据合规规则,完善相关的制度和流程。开展员工意识培训,使员工认识、了解数据合规要求以及如何在业务流程中落实制度要求。在数据保护合规制度搭建起来后,企业需要持续追踪数据保护合规制度实施情况,改善企业数据合规机制,确保企业的数据合规制度能够持续符合监管要求。
企业搭建起来的数据合规体系如何落实到具体的业务流程中,以确保涉及数据的业务经营符合监管要求?在此,我们以单项产品上线流程为例,简要描述一个数据合规体系的落地过程。
(1)在产品酝酿阶段,企业可以邀请隐私保护专家列席产品开发的研讨,专家提供个人信息保护的合规建议,提示合规风险与解决方案,此过程应通过会议记录或邮件的形式留痕。
(2)在初步产品设计阶段,产品设计团队针对使用的数据种类建立控制以及架构来处理第一稿的产品设计,第一稿的产品设计需体现上一阶段提出的隐私及个人信息保护风险的解决方案。
(3)产品设计团队将完成后的产品设计进行个人信息安全影响评估(Data Protection Impact Assessment, DPIA)。滴滴出行受审查一事,除了网络安全审查和其他的法律问题,也强有力地证明了企业对于与数据相关的产品进行个人信息安全评估的必要性和重要性。例如,有些比较关注数据合规的企业,其与数据相关的新产品和新服务,从研发到上线,都需要数据安全和个人隐私专家提前介入,从法律、商业、技术三个维度对个人信息安全进行综合评估,并形成个人信息安全影响评估报告,防范数据安全风险,防止企业日后因数据安全不合规而遭受重大损失,影响企业发展。
(4)最终产品能够对先前查出的隐私和个人信息保护风险进行处理,以及明确相应的技术手段和控制,通过最终产品展示会议(包含法务、风控、合规、安全等部门)以及论证加以证明。
总而言之,ISO 37301的国际可认证性,在企业合规治理、传递商业信任、向监管机构证明存在合规管理体系、作为企业向司法机关提供关于违规量刑的正面证据、争取合规不起诉等方面提供了重要支持。无论企业要不要取得ISO 37301的认证,ISO 37301的标准提供一个搭建合规体系的方法论和架构,加上有实操经验的专家的指导和协助,企业可以有效搭建出适配企业实际情况并符合国际水准的合规管理体系,赋能企业业务增长,为企业国内外运营保驾护航,保护企业和相关高管,帮助企业基业长青。
[1] 《深圳市国资委2021年法治政府建设年度报告》,2021年12月21日。
[2] 《2019-2020企业家刑事风险分析报告》发布。
[3] 施俊侃:《合规不起诉制度初探》,2021年6月15日。
[4]《重磅新闻|美的集团荣获首张 ISO37301:2021合规管理国际标准证书》,2022年1月13日。
[5] 施俊侃:《上市公司与拟上市公司合规指引》,2021年6月22日。
[6] 施俊侃:《强化数据治理背景下企业的数据合规体系建设》,2021年7月20日。
[7]同上注。